Google周四发布Chrome 79.0.3945.130,以减缓和Windows密码组件漏洞造成的网络钓鱼攻击风险,以及修补另外三项可让黑客通过Chrome黑入计算机的漏洞。
Google Chrome新版本解决的第一项问题,和Windows CryptoAPI的CVE-2020-0601有关。它影响Windows中名为CryptoAPI处理的加密组件,后者作用在让开发人员为其软件加入数字签名以防被篡改。该漏洞可让黑客发送恶意程序代码,以假凭证通过签章验证以冒充可信赖方的内容,包括文件、电子邮件或网站,对终端用户发送中间人(man-in-the-middle,MiTM)或网络钓鱼攻击。该漏洞被列为“重要”风险(但非最高的“重大”),但因是由过去恶名昭彰的美国国安局(NSA)通报微软而受人瞩目。微软已经在周二的Patch Tuesday中进行修补。
Chrome版79.0.3945.130增加在Chrome用户连入网站前,验证网站凭证完整性的能力。Google开发人员Ryan Sleevi指出,新版Chrome尚不完美,但在用户安装Windows修补程序前已足以提供保护。BleepingComputer测试显示,在未安装修补程序的Windows 10计算机上,若先升级到Chrome 79.0.3945.130,用户再连上研究人员设立的假网站时,Chrome就会警告连接不安全,攻击者可能从网站上试图窃取用户信息。
这项功能来得正是时候,因为一名安全研究人员已经在漏洞及修补程序发布不到24小时内,公开概念验证攻击,利用假的TLS凭证冒充NSA及GitHub网站,并骗过数个浏览器,包括Chrome、IE的检查而放行用户访问。
除了CryptoAPI的相关验证不足问题外,新版Chrome 79还另外修补了三项漏洞,其中CVE-2020-6378及CVE-2020-6379可让黑客诱骗用户连上恶意网站,触发UAF(Use-After-Free)错误而执行恶意程序代码。CVE-2020-63-80则出在插件程序处理组件的验证不足,用户若不慎下载恶意插件,将可能遭黑入系统。其中CVE-2020-6378属风险等级最高的“重大”漏洞,其余则为“高度”风险。
安全公司Kudelski Security指出,除了Firefox,Chromium-based的浏览器和旧IE都受影响。微软方面没提出官方说明。但安全部落Swift on Security指称,微软昨日公开发布的新版Chromium-based Edge也能提供防护。